Una vulnerabilidad de dÃa cero (Zero day) en la biblioteca de códec de vÃdeo libvpx ha afectado a navegadores como Chrome y Firefox, asà como a sistemas operativos como Android, desarrollado por Google, especialmente en los que usan el formato VP8.
Google ha anunciado recientemente una actualización de Chrome (117.0.5938) para Windows, Mac y Linux, que incluye diez correcciones de seguridad, entre entre las que se encuentra un parche para la identificada como CVE-2023-5217.
Etiquetada como de riesgo alto, esta brecha habrÃa provocado el "desbordamiento del búfer de codificación VP8 en libvpx", según una actualización del canal estable para Escritorio publicada en su blog.
Esto indica que esta vulnerabilidad de dÃa cero podrÃa haber llegado a los usuarios que utilizan dicho 'software' para codificar sus vÃdeos en este formato de compresión, según ha aclarado el analista senior de Analygence Will Dorman a Ars Technica.
Desde este mismo medio también señalan que la mayorÃa de los navegadores utilizan la biblioteca de códex de vÃdeo libvpx y que otros de los proveedores y plataformas que lo incluyen con Skype, Adobe, VLC o Android. Aunque por ello no están necesariamente en riesgo, ya que la vulnerabilidad se encuentra en el formato VP8.
Este 'exploit' se habrÃa extendido a diferentes servidores, que han implementado parches de seguridad para frenar su actividad. Es el caso de Chrome (117.0.5938.132), Firefox (118.0.1), Firefox ESR (115.3.1) y Firefox para Android (118.1).
Google, por su parte, ha aclarado que ha descubierto que "un proveedor de vigilancia comercial" ha explotado esta vulnerabilidad, como señala la investigadora de Seguridad y miembro del Grupo de Análisis y Amenazas de la compañÃa, Maddie Stone. Esta, a su vez, ha puntualizado que se lanzó el parche de seguridad dos dÃas después de haberse detectado la brecha.
